校园局域网非法DHCP接入问题的研究与解决办法

王景明

摘要：在校园网迅速发展、规模不断扩大的背景下，校园网内非法接入问题日渐突出。校园网非法接入问题直接影响校园网底层协议，网内越来越多的非法接入，无论是有意的还是无意的，都将影响整个校园网络运行的稳定性。由于现在带有DHCP功能的路由设备非常普遍，有些用户在安装设置的错误有意无意影响干扰其他用户正常获取正确的ip地址，甚至造成网络瘫痪，给网络维护带来非常大的工作量。该文从实际出发，就校园网内非法DHCP接入的问题起因及危害进行分析研究，提出了具体可行的解决方法。

关键词：非法DHCP；无线路由设备；vlan；DHCP-snooping

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）17-4001-03

Illegal DHCP Access of Research and Solution on the Campus Network

WANG Jing-ming

（Shanxi Forestry Vocational Technical College， Taiyuan 030009， China）

Abstract： In the campus network under the background of rapid development， the scale expands unceasingly， in the campus network illegal access problem increasingly prominent. Campus network illegal access problems directly affect the campus network the underlying protocol， the network more and more illegal access， whether intentional or unintentional， will influence the stability of the whole campus network operation. Because now with the function of DHCP routing equipment is very common， some users in the installation error， intentionally or not， affects other users to get the correct IP address normally， even cause network paralysis， bring very big workload of network maintenance. This article embarks from the actual， causes and harm of the illegal DHCP access within campus network analysis， puts forward the concrete solution.

Key words： Illegal DHCP； Wireless routing equipment； Vlan； DHCP snooping

1 概述

可靠稳定的网络平台，是校园内应用业务系统得以实施和推广的基石，网络平台的必须从设备、网络拓扑结构、网络技术、用户管理等几个方面保证网络的可靠稳定性。随着internet的迅猛发展及校园网应用快速普及，校园网的规模也越来越大，特别在高等院校高职高专校园局域网内，接入用户数目成千上万的比比皆是。

网络层IP地址的分配、管理，数据链路层ARP地址的学习、映射是网络使用的重要基础，在小型网络中，由于用户数目较少，解决非法比较直接的方法是进行IP-MAC绑定，但这种方式在中、大型网络不适合实现，主要由于用户数量庞大和用户接入环境多变，移动终端在网络中漫游，难以准确收集定位，静态IP地址分配方式容易造成IP地址冲突和配置错误，给用户和网络管理带来很多不便，实际工作中无法实现。基于IP地址的校园网内，绝大多数校园网都必须采用DHCP机制提高了地址分配管理效率，但是，非法接入设备、误操作、病毒等难以管理的行为威胁影响了合法网络服务的安全正常运行。

2 非法DHCP出现的原因和危害

合法DHCP服务器提供正确的地址分配数据，任何用户学习和使用未经授权的IP地址都应视为IP非法使用。归纳校园网内大部分非法IP出现的成因：1.在DHCP环境下的校园网络，不当设置使用了带有DHCP sever功能的家用网络设备，比如无线路由设备。2.用户端私自指定IP地址有意或无意造成IP地址冲突欺骗。3.有意无意安装或打开了操作系统的DHCP服务功能。4.处于某种目的有意捕获扰乱正常用户数据报文。

以我院校园网为例，由于现在带有DHCP功能的路由设备非常普遍，有些用户在安装设置时的错误有意无意影响干扰同一VLAN下其他用户正常获取正确的ip地址，发送错误ARP报文，并将非法设备的MAC地址伪装成网关MAC地址，导致其他主机无法上网或频繁掉线，甚至造成网络瘫痪，给网络维护带来非常大的工作量。

解决这类问题，需要对网络合理规划，在交换设备上设定合理的访问控制策略，指定从信任端口学习正确的DHCP数据包，开启DHCP-snooping，PVLAN，或者端口隔离功能等多方面考虑解决。

3 解决非法DHCP接入的方法

3.1 DHCP-snooping技术

适合于汇聚层和接入层结构划分规范，交换设备都配备了可网管支持DHCP-snooping功能的交换机的校园网中。DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP-snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP-snooping技术有三个主要作用：endprint

a.防止在动态获得IP地址的网络环境中用户手动配置PC的IP地址；

b.防止A用户的PC静态配置的IP地址顶掉B用户PC动态获得的IP地址的网络访问权；

c.防止在动态获得IP地址的网络环境中，内网私自架设非法的DHCP服务器，导致内网合法用户得到没有访问网络能力的IP地址；

交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。

DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。如下表所示：

switch#sh ip dhcp snooping binding

MacAddress IpAddress Lease（sec） Type VLAN Interface

01：0E：30：2A：45：D0 192.168.100.3 610035 dhcp-snooping 100 GigabitEthernet2/0/3

这张表不仅解决了 DHCP用户的IP和端口跟踪定位问题，为用户管理提供方便，而且还供给动态ARP检测DAI和IP Source Guard使用。

DHCP Snooping配置

switch（config）#ip dhcp snooping

switch（config）#ip dhcp snooping vlan 10

switch（config-if）#ip dhcp snooping limit rate 10

/*dhcp包的转发速率，超过就接口就shutdown，默认不限制

switch（config-if）#ip dhcp snooping trust

/*这样这个端口就变成了信任端口，信任端口可以正常接收并转发DHCP Offer报文，不记录ip和mac地址的绑定，默认是非信任端口"

switch#ip dhcp snooping binding 0009.3452.3ea4 vlan 7 192.168.10.5 interface gi1/0/10

/*这样可以静态ip和mac一个绑定；

3.2端口隔离技术

端口隔离技术在运营商宽带接入中已经普遍使用，但在校园网中的应用还不多。由于网络规模扩大，网络中广播、非法服务、病毒干扰等情况日益增加，端口隔离技术对网络净化、安全和故障隔离都有相当好的作用，在接入层交换机上容易实现。

端口隔离技术是一种实现在客户端的端口间的足够的隔离度以保证一个客户端不会收到另外一个客户端的流量的技术。端口隔离特性主要用于保护用户数据的私密性，防止恶意攻击者获取用户信息。 采用端口隔离，可以实现同一VLAN内部端口之间的隔离。通过端口隔离技术，用户可以将需要进行控制的端口加入到一个隔离组中，实现隔离组中的端口之间二层、三层数据的隔离。

使用隔离技术后，隔离端口之间不会产生单播、广播和组播，病毒也不会在隔离计算机之间传播，因此增加了网络安全性，提高了网络性能，同样，非法DHCP报文也不能扩散，用户只能在正确的端口学习到正确的信息，通过端口隔离的办法有效的减少网络中的非法DHCP和ARP攻击的隐患。

配置方法：以华为设备为例：

# 将端口Ethernet1/1、Ethernet1/2、Ethernet1/3 加入隔离组。

system-view

[Device] interface ethernet 1/1

[Device-Ethernet1/1] port-isolate enable

[Device-Ethernet1/1] quit

[Device] interface ethernet 1/2

[Device-Ethernet1/2] port-isolate enable

[Device-Ethernet1/2] quit

[Device] interface ethernet 1/3

[Device-Ethernet1/3] port-isolate enable

# 配置端口Ethernet1/0 为隔离组的上行端口。

[Device-Ethernet1/3] quit

[Device] interface ethernet 1/0

[Device-Ethernet1/0] port-isolate uplink-port

[Device-Ethernet1/0] return

3.3 接入层ACL控制

通过在接入层交换设备上使用访问控制列表ACL可以有效保障正确的DHCP封包传输，屏蔽掉非法借口上的DHCP服务。DHCP服务主要使用的是UDP的67、68端口，服务器端应答数据包使用68端口，客户端发送请求使用67端口，在交换机上通过访问控制列表来屏蔽掉除合法DHCP服务器以外的所有DHCP应答包，即将68端口封闭。具体命令：

Switch（config）#Ip access-list extended dhcp_r

Switch（config-ext-nacl）access-list 110 deny udp any eq 68 any

Switch（config-ext-nacl）permit ip any any

Switch（config-ext-nacl）exit

Switch（config）#interface range fastEthernet 0/1-23 //只有24端口可以传送DHCP报文

Switch（config-if-range）#ip access—group dhcp_r in

3.4 更换用户认证模式

改变校园网的接入认证模式，采用RADIUS服务器对通过交换机接入的802.1x用户实现IP动态分配、认证授权计费，并在接入层实现DHCP及arp防范限制功能，构建安全的网络应用结构。用户通过专用客户端接入网络，可有效防范非法DHCP干扰。

4 总结

在使用DHCP技术的校园网中，一定要考虑非法DHCP带来的问题。根据校园网的实际情况，对网络进行合理规划，采取适合的技术手段，为网络管理工作碰到的相关问题提供有效的解决方案，保证网络高效运行。

参考文献：

[1] 孙中廷，赵玉艳.非法DHCP带来的灾害及其防范措施[J].网络安全，2009（9）：30.

[2] 陈小中.校园网DHCP故障与解决[J].福建电脑，2010，（10）：167-169.

[3] 王韬.校园网中端口隔离的实现[J].科技信息，2011，（32）：306-307.

[4] 雷渭侣.计算机网络与安全[M].北京：清华大学出版社，2010.

[5] 盛纯.基于PPPoE的中小型网络管理的功能实现[J].中国教育信息化，2013，（3）：71-73.